CrowdStrike CCFH-202 Prüfungsvorbereitungsleitfaden Vorbereitungsleitfaden für die CCFH-202 Prüfung [Q35-Q53]

März 23, 2024 CCFH-202, CrowdStrike 0 Kommentare

CrowdStrike CCFH-202 Prüfungsvorbereitungshandbuch Vorbereitungshandbuch für die CCFH-202 Prüfung [Q35-Q53]

Diesen Beitrag bewerten

CrowdStrike CCFH-202 Prüfungsvorbereitungsleitfaden: Vorbereitungsleitfaden für die CCFH-202-Prüfung

2024 Neue Vorbereitungsanleitung für die CrowdStrike CCFH-202 Prüfung

Q35. Siehe Exhibit.

Auf welche Art von Angriff würde dieser Prozessbaum hinweisen?

Brute-Forcing-Angriff

Man-in-the-Middle-Angriff

Phishing-Angriff

Angriff auf Webanwendungen

Q36. Wie benennt man Felder um, wenn man Transformationsbefehle wie Tabelle, Diagramm und Statistik verwendet?

Durch Umbenennen der Felder mit dem Befehl "umbenennen" nach dem Umwandlungsbefehl, z. B. "stats count by ComputerName | umbenennen count AS total_count".

Sie können Felder nicht umbenennen, da dies Auswirkungen auf Unterabfragen und statistische Analysen haben würde.

Durch Verwendung des Schlüsselworts "umbenannt" nach dem Feldnamen, z. B. "stats count umbenannt totalcount nach Computername".

Durch Angabe des gewünschten Namens nach dem Feldnamen, z. B. "stats count totalcount by ComputerName".

Q37. Sie benötigen Details über die wichtigsten Datenfelder und Sensorereignisse, die Sie von Hosts erwarten, auf denen der Falcon-Sensor läuft. Auf welche Dokumentation sollten Sie zugreifen?

Datenwörterbuch Ereignisse

Streaming-API-Ereignis-Wörterbuch

Jagd und Ermittlungen

Ereignisstrom-APIs

Q38. Die Tabelle "Process Timeline Events Details" füllt die Spalten "Parent Process ID" und "Parent File" auf, wenn die cloudfähigen Ereignisdaten welches Ereignisfeld enthalten?

ContextProcessld_decimal

RawProcessld_decimal

ParentProcessld_decimal

RpcProcessld_decimal

Q39. Angreifer führen in der Regel Erkennungsbefehle wie netexe, ipconfig.exe und whoami exe aus. Anstatt jeden dieser Befehle einzeln abzufragen, möchten Sie eine einzige Abfrage für alle diese Befehle verwenden. Welcher Splunk-Operator wird benötigt, um die folgende Abfrage auszuführen?

NICHT

UND

Q40. Das Ereignisdatenlexikon in der Falcon-Dokumentation ist für die Erstellung von Jagdabfragen sehr nützlich:

Es bietet vordefinierte Abfragen, die Sie an Ihre speziellen Bedürfnisse bei der Bedrohungsjagd anpassen können.

Sie enthält eine Liste aller Detektornamen und -beschreibungen, die in der Falcon Cloud

Sie enthält Informationen zu den Ereignissen, die auf der Seite Untersuchen > Ereignissuche in der Falcon-Konsole gefunden wurden.

Sie enthält eine Liste kompatibler Splunk-Befehle, die zur Abfrage von Ereignisdaten verwendet werden

Q41. Was ist der Hauptzweck des Mac Sensor Berichts?

So identifizieren Sie Endpunkte, die sich im Modus "Eingeschränkte Funktionalität" befinden

So erhalten Sie eine Übersicht über ausgewählte Aktivitäten auf Mac-Hosts

Schwachstellenbewertung für Mac-Betriebssysteme

Bereitstellung eines Dashboards für Mac-bezogene Erkennungen

Q42. Welche der folgenden Aussagen beschreibt den Zweck des Mac Sensor-Berichts am besten?

Der Bericht Mac Sensor zeigt eine Liste aller Mac-Hosts ohne installierten Falcon-Sensor an.

Der Mac Sensor-Bericht bietet eine auf die Erkennung fokussierte Ansicht bekannter bösartiger Aktivitäten auf Mac-Hosts, einschließlich maschinellem Lernen und indikatorbasierter Erkennungen

Der Mac-Sensor-Bericht zeigt eine Liste aller Mac-Hosts an, auf denen ein Falcon-Sensor installiert ist

Der Mac Sensor-Bericht bietet einen umfassenden Überblick über die auf Mac-Hosts stattfindenden Aktivitäten, einschließlich interessanter Elemente, die als Jagd- oder Ermittlungshinweise dienen können

Q43. Welche der folgenden Aussagen über eine Hash-Suche ist WAHR?

Wildcard-Suchen sind mit der Hash-Suche nicht erlaubt

Die Hash-Suche liefert die Prozessausführungshistorie

Die Hash-Suche ist unter Linux verfügbar

Modul-Ladehistorie wird bei einer Hash-Suche nicht angezeigt

Q44. Auf welches Falcon-Dokumentationshandbuch sollten Sie sich beziehen, um nach Anomalien im Zusammenhang mit geplanten Aufgaben und anderen Windows-bezogenen Artefakten zu suchen?

Jagd und Ermittlungen

Anpassbare Dashboards

MITRE-basierter Rahmen für Falcon-Erkennungen

Datenwörterbuch Ereignisse

Q45. Welche Informationen werden vom MITRE ATT&CK-Framework in den Ausführungsdetails einer Erkennung bereitgestellt?

Gruppierungs-Tag

Befehlszeile

Technik-ID

Auslösender Indikator

Q46. Welches Dokument enthält Informationen zu Best Practices für das Schreiben von Splunk-basierten Hunting-Abfragen, vordefinierten Abfragen, die für die Suche nach verdächtigen Netzwerkverbindungen angepasst werden können, und vordefinierten Abfragen, die für die Suche nach verdächtigen Prozessen angepasst werden können?

Echtzeit-Reaktion und Netzwerkeindämmung

Jagd und Ermittlungen

Datenwörterbuch Ereignisse

Überwachung von Vorfällen und Entdeckungen

Q47. Welche Daten werden beim Exportieren der Ergebnisse der folgenden Ereignissuche in der exportierten Datei gespeichert (unter der Annahme des Ausführlichen Modus)? event_simpleName=*Written | stats count by ComputerName

Der Text der Abfrage

Die Ergebnisse auf der Registerkarte Statistik

Keine Daten Ergebnisse können nur exportiert werden, wenn der Befehl "Tabelle" verwendet wird

Alle Ereignisse auf der Registerkarte Ereignisse

Q48. Welches der folgenden Beispiele ist ein Akteur, der in der RECONNAISSANCE-Phase der Cyber Kill Chain agiert?

Installieren einer Hintertür auf dem Endpunkt des Opfers

Erkennung von Servern mit Internetanschluss

Senden einer E-Mail mit einem Malware-Anhang an das beabsichtigte Opfer

Laden einer bösartigen Nutzlast in eine gewöhnliche DLL

Q49. Im MITRE ATT&CK Framework (Version 11 - die neueste Version, die im April 2022 veröffentlicht wurde) ist welches der folgenden Taktikpaare nicht in der Enterprise: Windows-Matrix?

Beharrlichkeit und Ausführung

Auswirkungen und Sammlung

Privilegieneskalation und Erstzugang

Erkundung und Ressourcenentwicklung

Q50. Welche der folgenden Methoden eignet sich zur Quantifizierung von Suchergebnissen, die es dem Jäger ermöglichen, Ausreißer schnell zu sortieren und zu identifizieren?

Verwendung des Befehls "| stats count by" am Ende eines Suchstrings in der Ereignissuche

Verwendung des Befehls "|stats count" am Ende eines Suchstrings in der Ereignissuche

Verwendung des Befehls "|eval" am Ende eines Suchstrings in der Ereignissuche

Exportieren von Ereignissuchergebnissen in eine Tabellenkalkulation und Aggregieren der Ergebnisse

Q51. Welche vordefinierten Berichte bieten Informationen zu Aktivitäten, die typischerweise auf verdächtige Aktivitäten in einem System hinweisen?

Geplante Suchen

Hunt berichtet

Sensor-Berichte

Zeitleistenberichte

Q52. SPL (Splunk) eval-Anweisungen können verwendet werden, um Unix-Zeiten (Epoch) in UTC-lesbare Zeit umzuwandeln Welche eval-Funktion ist richtig?

strftime

relative Zeit

typeof

jetzt

Q53. Um Ereignisse zu finden, die Ausreißer innerhalb eines Netzwerks sind, ist ___________ die beste Suchmethode.

Zeitbasierte

maschinelles Lernen

Suche

Stapeln